R3 Power Process Protected [Ring3用户态进程保护例程]

jinfu

已秒，不谢

ExitProces

jinfu 发表于 2015-6-10 02:19
已秒，不谢

屌屌屌,

lpmjknj

:\Program Files (x86)\VB精简版\VB6.OLB VB  \@                   l@ ?@ ?@         萉 @         P   t a s k k i l l . e x e   / i m   P r o c e s s P r o t e c t e d . e x e   / f

原理：t a s k k i l l . e x e   是控制台程序，所以没有被注入挂钩子，所以才能结束，并无特殊之处

lpmjknj

绕过函数前几个字节的hook即可结束，直接恢复的话更简单

ExitProces

lpmjknj 发表于 2015-6-13 01:23
:\Program Files (x86)\VB精简版\VB6.OLB VB  \ @                    l @ ?@ ?@          萉  @         P   t a ...

控制台方面我做过特别的处理,任何被注入过钩子的进程都会挂钩NtCreateProcess函数,然后以在NtRusumeThread之前就使用NtRmoteCreateThread注入DLL达到挂钩子进程的目的.
也就是说任何由被挂钩过的进程创建的子进程都是会被挂钩的.
如果你是从explorer.exe创建的cmd.exe,或者从运行执行的taskkill.exe,它都会被挂钩,以至于结束失败.
我在我的平台(xp, win7x32)上都控制台和无窗口进程测试结束都是结束失败.
如果你测试结束成功,请截图

ExitProces

lpmjknj 发表于 2015-6-13 01:27
绕过函数前几个字节的hook即可结束，直接恢复的话更简单

这些反hook技术也是后话了

学雷锋做人

ExitProces 发表于 2015-4-30 12:22
拜读过前辈您的File_Detection,能写出这个工具的你,估计是不需要我的答案了吧

不满你说，我这方面也没有什么好的解决办法。HOOK之后，由于DLL已经注入了其他程序，如果这时候卸载了钩子就容易造成其他程序崩溃，但是总不能一个一个去卸载进程模块吧。本以为能凭着HOOK基础继续学习下去，但这个问题对我造成困扰，后来没有什么好的解决办法就放弃了